www.MegaLab.it

[stubborn74]

ciao,
recentemente avevo scoperto di avere alcuni rootkit nel mio so,per lo meno erano definiti tali da TDSSKiller di Kaspersky.
volevo postarmi per risolvere il problema quì,ma un mio collega mi ha (diciamo di propria iniziativa) "risolto" il problema con un sistema abbastanza traumatico,ma che in parte ha funzionato poichè i file incriminati non sono più presenti. partendo dall inizio,i file in questione (si è scoperto dopo) altro non erano che i residui di un vecchio software della PCToolsmal disinstallato,che continuavano a lavorare nel mio so senza più la presenza del software medesimo che li aveva creati. se si provava a rimuoverli manualmente o con i vari tools di rimozione,il so crashava,e idem se si provava a reinstallare il software "madre" e redisinstallarlo con adeguata pulizia successiva. allora il mio collega ha fatto in questo modo:
-ha riscaricato il software madre
-lo ha disinstallato con iobit
-ha cercato tutte le chiavi di registro con regseeker cancellandole (tutte con successo,anche quelle bloccate)
-ha cercato ed eliminato tutti i back up e gli avanzi del software con revouninstaller pro
-ha inserito il cd di ripristino ed ha eseguito il ripristino di windows mantenendo i file esistenti (mi ha dovuto riscaricare gli aggiornamenti da capo)
-ha eseguito lo sfc /scannow ed è risultato tutto integro.

in realtà però anche se i file indesiderati sono spariti,prima che ci mettesse le mani questo collega la cpu lavorava bene,non era mai sotto stress ma la ventola girava che una meraviglia,mentre ora gira lentissima,e a volte è ferma.... il sistema non risponde piu come prima... incredibili rallentamenti di avvio,di apertura finestre,di esecuzione comandi,di esecuzione processi e così via... senza parlare del browser che sembra invecchiato di colpo e mi da latenze inconcepibili.
in questo stato il mio pc è praticamente inservibile.
ho un HP dv-6000 con windows vista Home Premium 32bit
in attesa di istruzioni per i controlli,ringazio.

[Uomo_Senza_Sonno]

Probabilmente il tuo collega ha risolto parte del problema, ma ora vediamo di fare in primo luogo un controllo con il rescue disk di GData: dopo averlo scaricato lo masterizzi ed esegui il boot da questo cd, aggiorni le definizioni e scansioni (qui trovi le istruzioni passo passo);

in secondo luogo riprendi nuovamente quest'articolo, e posta il settore 0 del disco fisico (hard disk 1) a tutto schermo di modo che si veda tutta la finestra del programma e l'intero settore

[stubborn74]

scusami,qual è il link giusto per il download di rescue disk di GData? http://www.gdata.it/supporto/download/tools.html

[stubborn74]

ok,trovato... comunque il download è previsto con 1 ora e mezzo di attesa....

[Uomo_Senza_Sonno]

Scusami, ma con che connessione sei collegato? Ho fatto una prova adesso e il tempo stimato è di circa un quarto d'ora (ADSL 4 mega)

[stubborn74]

Scusami, ma con che connessione sei collegato? Ho fatto una prova adesso e il tempo stimato è di circa un quarto d'ora (ADSL 4 mega)

ho una connessione rndis,prima mi viaggiava normalmente a circa 2 mega,ora sta viaggiando a 300 k

[Uomo_Senza_Sonno]

Capisco... nel frattempo che scarica il rescue disk, postami il settore 0 del disco fisico

[stubborn74]

scusami,ma non riesco a comprendere i comandi per aprire il settore del disco fisico... è arabo per me,qualche semplificazione?
p.s- spero di NON aver sbagliato,ma sto scaricando il GData_2010_SUI.iso direttamente su un cd-r (l unico libero che avevo al momento) da 700 Mb.

30 minuti da adesso al termine del download.

[Uomo_Senza_Sonno]

Veramente dovresti scaricarlo sul pc e poi masterizzarlo. Per quanto riguarda il disco, vai in Extra, poi apri disco e selezioni il disco fisico (hard disk1) e avrai davanti il settore 0. Mi fai uno screenshot e lo carichi su http://www.imageshack.us/ e posti il link che ti verrà fornito

[stubborn74]

non ho voci con scritto "extra" su windows vista,con un comando esegui si puo fare?

[Uomo_Senza_Sonno]

Ma hai aperto HxD?

[stubborn74]

no non l ho aperto perdonami,ma HxD è un qualcosa da scaricare? o è gia presente sul sistema?

[Uomo_Senza_Sonno]

Rileggi l'articolo, nella seconda pagina è descritta la panoramica del programma ed è presente il link per il download
Fai con calma, completa il download del rescue disk ed esegui la scansione, e a questo punto domani vediamo il settore.

Buonanotte e tranquillo che domani rimuoviamo tutto quanto

[stubborn74]

Rileggi l'articolo, nella seconda pagina è descritta la panoramica del programma ed è presente il link per il download
Fai con calma, completa il download del rescue disk ed esegui la scansione, e a questo punto domani vediamo il settore.

Buonanotte e tranquillo che domani rimuoviamo tutto quanto

ok,comunque seguendo il tutto,appare questo

[stubborn74]

forse ci sono riuscito


33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00 06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00 BD BE 07 80 7E 00 00 7C 0B 0F 85 10 01 83 C5 10 E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00 B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09 F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74 26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00 7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13 9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00 8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1E FE 4E 11 0F 85 0C 00 80 7E 00 80 0F 84 8A 00 B2 80 EB 82 55 32 E4 8A 56 00 CD 13 5D EB 9C 81 3E FE 7D 55 AA 75 6E FF 76 00 E8 8A 00 0F 85 15 00 B0 D1 E6 64 E8 7F 00 B0 DF E6 60 E8 78 00 B0 FF E6 64 E8 71 00 B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54 43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00 00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66 53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66 61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD 18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4 05 00 07 8B F0 AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 2B C9 E4 64 EB 00 24 02 E0 F8 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 00 62 7A 99 22 42 22 42 00 00 80 01 01 00 07 FE FF FF 3F 00 00 00 05 F3 B6 11 00 FE FF FF 07 FE FF FF 44 F3 B6 11 7D 97 EA 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA

3ÀŽÐ¼.|ŽÀŽØ¾.|¿..¹..üó¤Ph..Ëû¹..½¾.€~..|..…..ƒÅ.âñÍ.ˆV.UÆF..ÆF..´A»ªUÍ.]r..ûUªu.÷Á..t.þF.f`€~..t&fh....fÿv.h..h.|h..h..´BŠV.‹ôÍ.ŸƒÄ.žë.¸..».|ŠV.Šv.ŠN.Šn.Í.fas.þN..…..€~.€.„Š.²€ë‚U2äŠV.Í.]ëœ.>þ}Uªunÿv.èŠ..…..°Ñædè..°ßæ`èx.°ÿædèq.¸.»Í.f#Àu;f.ûTCPAu2.ù..r,fh.»..fh....fh....fSfSfUfh....fh.|..fah...Í.Z2öê.|..Í. ·.ë. ¶.ë. µ.2ä...‹ð¬<.tü»..´.Í.ëò+Éädë.$.àø$.ÃInvalid partition table.Error loading operating system.Missing operating system....bz™"B"B..€....þÿÿ?....ó¶..þÿÿ.þÿÿDó¶.}—ê.................................Uª

[Uomo_Senza_Sonno]

Apri il programma come amministratore, poi fai uno screenshot premendo il tasto Stamp dalla tastiera, poi apri un qualsiasi programmino di editing foto come Paint (presente in windows) e incolli. Dopodichè carichi l'immagine su http://www.imageshack.us e mi posti il link che ti appare una volta caricata.

Così come l'hai postata non serve a molto, anzi è controproduttivo.

[stubborn74]

[VincenzoGTA]

Non mi sostituisco a @Uomosenzasonno, non mi permetterei mai

intervengo per solo per indicare quali sono i successivi settori da postare (come hai fatto con lo zero)
così da risparmiare tempo

Posta le schermate dei settori:
62
63

297202498
297202499
297202500
297202501

312576703
312576704
312576705

ps: postale nell' ordine come li ho scritti e possibilmente all' interno del tag memo

[Uomo_Senza_Sonno]

Vincenzo ti ringrazio per l'intervento, e per aver segnalato i settori da postare
Tuttavia i settori intermedi, ovvero quelli che interessano il partizionamento interno del disco (ovvero 297202498, 297202499, 297202500, 297202501) non sono da prendere in esame perché sono interni al filesystem e quindi un qualsiasi rootkit non andrebbe ad insediarsi in quanto sarebbe presto rimosso da qualsiasi tool antirootkit.

@stubborn74: oltre a postare i settori 62, 63, 312576704 e 312576705, posta anche i settori 312581807 e 312581808, così abbiamo il quadro completo della situazione (che da quel che vedo, non è delle migliori, ma dopo il trattamento non ci sarà più traccia); in più tieni da parte il cd di windows, ci servirà.

[stubborn74]

ok,provvedo in qualche minuto,grazie